hi julian,
die session wird gelöscht, war das erste was ich kontrolliert hab. um das ganze genauer zu erklären:

die webseite ist ein frameset, 2 frames, oben einer unten einer.

oben sitzt die topmenu.php die aus db-navigationsdaten ein dhtml-menu generiert, unten werden bloss noch reine html seiten reingeladen.
das frameset selbst ist ebenfalls ein php file, dort wird der session kram gemacht und die sessionID and das topmenu.php übergeben.

so kommt es, daß der nutzer bei klick auf den back button zu einem (eigentlich geschützten) frameset zurückkommt, da der browser einfach in seiner history zurückgeht und nicht das script neu anfordert. im oberen frame sitzt dann eine komplett funktionstüchtige navigation, wie gesagt dhtml, die seite muß während des navigierens also auch nicht neu geladen werden. so kann er lustig alle inhalte abrufen, obwohl seine session gelöscht ist.

das wollte ich durch besagte meta tags bereits im frameset.php verhindern, das ergebnis kennst du ja...

so langsam glaub ich, daß man dieses verhalten gar nicht durch meta tags zum cache controlling umgehen kann.